改善企業(yè)云計算安全模式的六個步驟

來源：比特網(wǎng)　作者：知世　責(zé)任編輯：admin　發(fā)表時間:2011-08-31 16:02　

核心提示：圍繞云計算安全的討論主要集中在云供應(yīng)商應(yīng)該做的安全措施方面，畢竟數(shù)據(jù)和應(yīng)用程序服務(wù)是云供應(yīng)商在管理。但是企業(yè)需要記住，企業(yè)承擔(dān)著大部分的云安全責(zé)任，某些情況下，他們甚至是最大的責(zé)任人。

圍繞云計算安全的討論主要集中在云供應(yīng)商應(yīng)該做的安全措施方面，畢竟數(shù)據(jù)和應(yīng)用程序服務(wù)是云供應(yīng)商在管理。但是企業(yè)需要記住，企業(yè)承擔(dān)著大部分的云安全責(zé)任，某些情況下，他們甚至是最大的責(zé)任人。企業(yè)千萬不要忘記，如果發(fā)生安全泄漏事故，企業(yè)將受到直接的影響，畢竟，他們是數(shù)據(jù)所有人。

通常大家都認為云供應(yīng)商和企業(yè)需要共同承擔(dān)云計算的責(zé)任，而這兩者之間的責(zé)任分割線目前是有點模糊。責(zé)任分割線直接取決于云計算安全的模式，范圍從軟件即服務(wù)(SAAS)到平臺即服務(wù)(PAAS)，再到基礎(chǔ)設(shè)施即服務(wù)(IAAS)。

SAAS方式更像是安全的黑盒子，應(yīng)用程序安全是企業(yè)看不到的。而IAAS，企業(yè)承擔(dān)應(yīng)用程序、數(shù)據(jù)及其他基礎(chǔ)設(shè)施安全的主要責(zé)任。

企業(yè)應(yīng)該如何改善云計算安全的模式性并從中獲得最大利益呢?可以參照以下六個步驟：

第一步：從現(xiàn)有企業(yè)內(nèi)部私有云計算及圍繞云計算構(gòu)建的安全系統(tǒng)和程序中學(xué)習(xí)

在過去十年中，大中型企業(yè)就已經(jīng)建立了內(nèi)部云計算，雖然他們并沒有稱其為云計算，而是稱為共享服務(wù)，例如認證服務(wù)、供應(yīng)服務(wù)、數(shù)據(jù)庫服務(wù)或者企業(yè)數(shù)據(jù)中心(構(gòu)建在相對規(guī)范的硬件和操作系統(tǒng)中。)

第二步：對很多IT業(yè)務(wù)流程的風(fēng)險和重要性進行評估

遷移到云計算所節(jié)省的成本可能會比較容易計算，但是在計算機風(fēng)險和成本的算術(shù)前，我們要先弄清楚風(fēng)險究竟有多少。云供應(yīng)商不會為企業(yè)做這方面的分析，因為這完全取決于業(yè)務(wù)流程的業(yè)務(wù)范圍。成本相對較高的低服務(wù)水平協(xié)議(SLA)應(yīng)用程序毫無疑問是云計算安全風(fēng)險評估首先要評估的對象，另外，潛在的合規(guī)影響也需要考慮，因為監(jiān)管機構(gòu)規(guī)定有些數(shù)據(jù)和服務(wù)不能轉(zhuǎn)移到公司外部或者國家外。

第三步：學(xué)習(xí)不同類型的云計算模型和類別

企業(yè)需要研究不同類型的云模型(公共、私有、混合)以及不同類別(SAAS、PAAS、IAAS)，因為這些不同類型的云模型的差異性與安全控制和責(zé)任有直接關(guān)聯(lián)。

所以企業(yè)必須對這些云模型有自己的見解，從企業(yè)自身和企業(yè)風(fēng)險評估的角度來分析。

另外，法律組織在這方面也發(fā)揮著重要的作用，因為保修和責(zé)任也將是重要的組成部分。

第四步：將企業(yè)的面向服務(wù)架構(gòu)(SOA)設(shè)計和安全原則運用到云計算中

大多數(shù)企業(yè)近年來都在他們的應(yīng)用開發(fā)部門運用了面向服務(wù)原則，云計算不就是面向服務(wù)么?云計算只是邏輯化的面向服務(wù)。高度分布安全實施的SOA安全原則，與集中云計算安全原則管理和抉擇，可以直接應(yīng)用到云計算中。在云計算中使用SOA的原則不需要重新制定原則，而只要做些許轉(zhuǎn)換。

第五步：把自己當作云供應(yīng)商

雖然大多數(shù)企業(yè)從開始就會將自己當作云消費者，但是不要忘記企業(yè)也是服務(wù)供應(yīng)商：企業(yè)向客戶和合作伙伴提供服務(wù)。把自己當作云供應(yīng)商來思考問題，能夠幫助企業(yè)更好的了解云計算供應(yīng)商。

第六步：從現(xiàn)在開始熟悉并開始使用Web安全標準

Web安全行業(yè)長期以來都致力于對保護和管理跨域系統(tǒng)方面的研究，從而也產(chǎn)生了很多有用的安全標準來確保云服務(wù)的安全性。只有運用這些標準，安全系統(tǒng)在云世界中才能有效運用。這些標準包括安全斷言標記語言(SAML)，服務(wù)供應(yīng)標記語言(SPML)，可擴展訪問控制標記語言(XACML)以及web服務(wù)安全(WS-Security)。

企業(yè)改善云計算安全最重要的要求之一就是確保安全專業(yè)人士被看做是云計算理性的倡議者，而不是反對者或者懷疑者。技術(shù)人員也可以作為風(fēng)險/回報評估分析的主要力量，以幫助企業(yè)最大限度獲取云計算帶來的利益。

以上就是本文對改善企業(yè)云計算安全模式的六個步驟的介紹，希望本文對大家會有些許的幫助。

(責(zé)任編輯：admin)

“掃一掃”關(guān)注融合網(wǎng)微信號

免責(zé)聲明：我方僅為合法的第三方企業(yè)注冊用戶所發(fā)布的內(nèi)容提供存儲空間，融合網(wǎng)不對其發(fā)布的內(nèi)容提供任何形式的保證：不保證內(nèi)容滿足您的要求，不保證融合網(wǎng)的服務(wù)不會中斷。因網(wǎng)絡(luò)狀況、通訊線路、第三方網(wǎng)站或管理部門的要求等任何原因而導(dǎo)致您不能正常使用融合網(wǎng)，融合網(wǎng)不承擔(dān)任何法律責(zé)任。

第三方企業(yè)注冊用戶在融合網(wǎng)發(fā)布的內(nèi)容（包含但不限于融合網(wǎng)目前各產(chǎn)品功能里的內(nèi)容）僅表明其第三方企業(yè)注冊用戶的立場和觀點，并不代表融合網(wǎng)的立場或觀點。相關(guān)各方及作者發(fā)布此信息的目的在于傳播、分享更多信息，并不代表本網(wǎng)站的觀點和立場，更與本站立場無關(guān)。相關(guān)各方及作者在我方平臺上發(fā)表、發(fā)布的所有資料、言論等僅代表其作者個人觀點，與本網(wǎng)站立場無關(guān)，不對您構(gòu)成任何投資、交易等方面的建議。用戶應(yīng)基于自己的獨立判斷，自行決定并承擔(dān)相應(yīng)風(fēng)險。

根據(jù)相關(guān)協(xié)議內(nèi)容，第三方企業(yè)注冊用戶已知悉自身作為內(nèi)容的發(fā)布者，需自行對所發(fā)表內(nèi)容（如，字體、圖片、文章內(nèi)容等）負責(zé)，因所發(fā)表內(nèi)容（如，字體、圖片、文章內(nèi)容等）等所引發(fā)的一切糾紛均由該內(nèi)容的發(fā)布者（即，第三方企業(yè)注冊用戶）承擔(dān)全部法律及連帶責(zé)任。融合網(wǎng)不承擔(dān)任何法律及連帶責(zé)任。

第三方企業(yè)注冊用戶在融合網(wǎng)相關(guān)欄目上所發(fā)布的涉嫌侵犯他人知識產(chǎn)權(quán)或其他合法權(quán)益的內(nèi)容（如，字體、圖片、文章內(nèi)容等），經(jīng)相關(guān)版權(quán)方、權(quán)利方等提供初步證據(jù)，融合網(wǎng)有權(quán)先行予以刪除，并保留移交司法機關(guān)查處的權(quán)利。參照相應(yīng)司法機關(guān)的查處結(jié)果，融合網(wǎng)對于第三方企業(yè)用戶所發(fā)布內(nèi)容的處置具有最終決定權(quán)。

個人或單位如認為第三方企業(yè)注冊用戶在融合網(wǎng)上發(fā)布的內(nèi)容（如，字體、圖片、文章內(nèi)容等）存在侵犯自身合法權(quán)益的，應(yīng)準備好具有法律效應(yīng)的證明材料，及時與融合網(wǎng)取得聯(lián)系，以便融合網(wǎng)及時協(xié)調(diào)第三方企業(yè)注冊用戶并迅速做出相應(yīng)處理工作。

融合網(wǎng)聯(lián)系方式：（一）、電話：（010）57722280；（二）、電子郵箱：2029555353@qq.com dwrh@dwrh.net

對免責(zé)聲明的解釋、修改及更新權(quán)均屬于融合網(wǎng)所有。